Ученые утверждают, что постоянная смена паролей приносит больше вреда, чем пользы

Большинство офисных работников имеет дело с работой, требующей постоянной смены паролей, через каждые шесть месяцев или около того. Многолетняя практика IT-безопасности основана на идее, что смена старых паролей, которые могут взломать плохие парни, поможет ограничить доступ к важной информации.

Однако ученые считают, что в этой стратегии есть некоторые прорехи.

«Если нет причин считать, что пароль находится под угрозой или уже взломан, требование регулярной смены пароля в некоторых случаях может принести больше вреда, чем пользы», - говорит главный технолог Федеральной торговой комиссии Лорри Кренор.

Эту точку зрения поддерживают ученые из Университета Карнеги. Они провели исследование, в результате которого обнаружилось, что если работников раздражает частая смена паролей, то они придумывают такие пароли, которые можно угадать на 46% чаще, чем пароли тех, кто поддерживает политику смены паролей.

Еще одно исследование предполагает, что постоянная смена паролей не удержат плохих парней надолго. Те работники, от которых «часто требуют создавать и запоминать новые пароли для десятков счетов, как правило, выбирают слабые пароли или используют одни и те же пароли для многих счетов», - говорится в исследовании.

Исследователи из Университета Северной Каролины в 2010 году изучили старые пароли, принадлежащие бывшим студентам, преподавателям и сотрудникам университета, которые должны были менять их каждые три месяца. Они обнаружили, что пользователи часто применяли пароли, связанные со старыми паролями, в которых просто меняли порядок букв и цифр, заменяли одно число или символ (букву «Е» на «З»), добавляли или удаляли специальные символы, например, восклицательные знаки.

С помощью программы, разработанной для прогнозирования таких изменений, исследователи смогли предсказать 41% новых паролей меньше чем за три секунды, используя относительно маломощный компьютер.

Исследователи из Карлтонского университета в 2013 году отметили, что в некоторых случаях плохие парни устанавливают программы-шпионы, которые определяют пароли, как только их набирают на клавиатуре. Так что изменение пароля при этом не играет никакой роли. Злоумышленник просто определяет новый пароль в момент его введения.

Но это не говорит о том, что смена пароля - это плохая идея. Лучшей идеей может стать не только смена пароля, а и применение таких методов, как биометрические данные или двухкомпонентные методы, требующие введения уникальных для каждого пользователя кодов в виде текста.

«Наше исследование подтверждает мнение о том, что в дальнейшем от простой идентификации на основе пароля необходимо отказаться», - утверждают исследователи.